Włączanie protokołu SSL dla wszystkich klientów, którzy wchodzą w interakcje z witryną sieci Web w usługach IIS

  • Artykuł

W tym artykule opisano sposób włączania protokołu Secure Sockets Layer (SSL) dla wszystkich klientów, którzy wchodzą w interakcje z witryną sieci Web w usłudze Microsoft Internet Information Services (IIS).

Oryginalna wersja produktu: Internet Information Services
Oryginalny numer KB: 298805

Podsumowanie

Ten artykuł zawiera następujące tematy:

  • Jak skonfigurować i włączyć certyfikaty serwera, aby klienci mogli mieć pewność, że witryna sieci Web jest prawidłowa, a wszelkie wysyłane do Ciebie informacje pozostaną prywatne i poufne.
  • Jak używać certyfikatów innych firm do włączania protokołu Secure Sockets Layer (SSL), a także ogólnego przeglądu procesu używanego do generowania żądania podpisania certyfikatu (CSR), który jest używany do uzyskania certyfikatu innej firmy.
  • Jak włączyć łączność SSL dla witryny sieci Web.
  • Jak wymusić protokół SSL dla wszystkich połączeń i ustawić wymaganą długość szyfrowania między klientami a witryną sieci Web.

Funkcje zabezpieczeń protokołu SSL serwera sieci Web można używać do dwóch typów uwierzytelniania. Możesz użyć certyfikatu serwera , aby umożliwić użytkownikom uwierzytelnianie witryny sieci Web przed przesłaniem danych osobowych, takich jak numer karty kredytowej. Ponadto można użyć certyfikatów klienta do uwierzytelniania użytkowników, którzy żądają informacji w witrynie sieci Web.

W tym artykule przyjęto założenie, że do uwierzytelniania serwera sieci Web zostanie użyty urząd certyfikacji innej firmy.

Aby włączyć weryfikację certyfikatu serwera SSL i zapewnić poziom zabezpieczeń żądany przez klientów, należy uzyskać certyfikat od urzędu certyfikacji innej firmy. Certyfikaty wystawiane organizacji przez urząd certyfikacji innej firmy są zwykle powiązane z serwerem sieci Web, a dokładniej z witryną sieci Web, z którą ma zostać powiązana protokół SSL. Możesz utworzyć własny certyfikat przy użyciu serwera usług IIS, ale jeśli to zrobisz, klienci muszą niejawnie ufać Tobie jako urzędowi certyfikacji.

W tym artykule przyjęto założenie, że:

  • Zainstalowano usługi IIS.
  • Witryna sieci Web, którą chcesz zabezpieczyć za pomocą protokołu SSL, została utworzona i opublikowana.

Uzyskiwanie certyfikatu

Aby rozpocząć proces uzyskiwania certyfikatu, musisz wygenerować plik CSR. Można to zrobić za pośrednictwem konsoli zarządzania usługami IIS. W związku z tym należy zainstalować usługi IIS przed wygenerowaniem pliku CSR. Csr to w zasadzie certyfikat generowany na serwerze, który weryfikuje informacje specyficzne dla komputera dotyczące serwera podczas żądania certyfikatu od urzędu certyfikacji innej firmy. Plik CSR to po prostu zaszyfrowana wiadomość sms zaszyfrowana za pomocą pary kluczy publicznych/prywatnych.

Zazwyczaj w wygenerowanym pliku CSR znajdują się następujące informacje o komputerze:

  • Organizacji
  • Jednostka organizacyjna
  • Kraj/region
  • Stan/prowincja
  • Miasto/lokalizacja
  • Nazwa pospolita

Uwaga

Nazwa pospolita zwykle składa się z nazwy komputera hosta i domeny, do której należy, na przykład xyz.com. W takim przypadku komputer jest częścią domeny .com i nosi nazwę XYZ. Może to być serwer główny domeny firmowej lub po prostu witryna sieci Web.

Generowanie pliku CSR

  1. Uzyskiwanie dostępu do programu IIS Microsoft Management Console (MMC). W tym celu kliknij prawym przyciskiem myszy pozycję Mój komputer i wybierz pozycję Zarządzaj. Spowoduje to otwarcie konsoli zarządzania komputerem. Rozwiń sekcję Usługi i aplikacja . Znajdź usługi IIS i rozwiń konsolę usług IIS.

  2. Wybierz określoną witrynę sieci Web, w której chcesz zainstalować certyfikat serwera. Kliknij witrynę prawym przyciskiem myszy i wybierz pozycję Właściwości.

  3. Wybierz kartę Zabezpieczenia katalogu . W sekcji Bezpieczna komunikacja wybierz pozycję Certyfikat serwera. Spowoduje to uruchomienie Kreatora certyfikatów serwera sieci Web. Wybierz pozycję Dalej.

  4. Wybierz pozycję Utwórz nowy certyfikat i wybierz pozycję Dalej.

  5. Wybierz pozycję Przygotuj żądanie teraz, ale wyślij je później i wybierz pozycję Dalej.

  6. W polu Nazwa wprowadź nazwę, którą można zapamiętać. Domyślnie jest to nazwa witryny sieci Web, dla której jest generowany plik CSR.

    Uwaga

    Podczas generowania pliku CSR należy określić długość bitową. Długość bitowa klucza szyfrowania określa siłę zaszyfrowanego certyfikatu wysyłanego do urzędu certyfikacji innej firmy. Im większa długość bitu, tym silniejsze szyfrowanie. Większość urzędów certyfikacji innych firm preferuje co najmniej 1024 bity.

  7. W sekcji Informacje o organizacji wprowadź informacje o organizacji i jednostce organizacyjnej. Musi to być dokładne, ponieważ te poświadczenia są przedstawiane urzędu certyfikacji innej firmy i należy przestrzegać ich licencji certyfikatu. Wybierz pozycję Dalej , aby uzyskać dostęp do sekcji Nazwa pospolita witryny .

  8. Sekcja Nazwa pospolita witryny jest odpowiedzialna za powiązanie certyfikatu z witryną sieci Web. W przypadku certyfikatów SSL wprowadź nazwę komputera hosta z nazwą domeny. W przypadku serwerów intranetowych można użyć nazwy NetBIOS komputera hostującego lokację. Wybierz pozycję Dalej , aby uzyskać dostęp do informacji geograficznych.

  9. Wprowadź informacje o kraju lub regionie, stanie lub prowincji oraz informacje o mieście lub lokalizacji. Całkowicie przeliteruj swój stan lub prowincję oraz miasto lub lokalizację. I nie używaj skrótów. Wybierz pozycję Dalej.

  10. Zapisz plik jako plik .txt.

  11. Potwierdź szczegóły żądania. Wybierz przycisk Dalej , aby zakończyć pracę, a następnie zamknij Kreatora certyfikatów serwera sieci Web.

Żądanie certyfikatu

Istnieją różne metody przesyłania żądania. Skontaktuj się z wybranym dostawcą certyfikatów, aby uzyskać metodę do użycia i określić najlepszy poziom certyfikatu dla Twoich potrzeb. W zależności od metody wybranej do wysłania żądania do urzędu certyfikacji możesz wysłać plik CSR z kroku 10 w sekcji Generowanie pliku CSR lub wklej zawartość tego pliku do żądania. Ten plik zostanie zaszyfrowany i będzie zawierać nagłówek i stopkę zawartości. Podczas żądania certyfikatu należy uwzględnić zarówno nagłówek, jak i stopkę. Plik CSR powinien wyglądać następująco:

-----BEGIN NEW CERTIFICATE REQUEST-----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-----END NEW CERTIFICATE REQUEST-----

Instalowanie certyfikatu

Po zakończeniu żądania certyfikatu serwera przez urząd certyfikacji innej firmy otrzymasz go za pośrednictwem poczty e-mail lub witryny pobierania. Certyfikat musi być zainstalowany w witrynie sieci Web, w której chcesz zapewnić bezpieczną komunikację.

Aby zainstalować certyfikat, wykonaj następujące kroki:

  1. Pobierz lub skopiuj certyfikat uzyskany z urzędu certyfikacji na serwer sieci Web.
  2. Otwórz program MMC usług IIS zgodnie z opisem w sekcji Generowanie pliku CSR .
  3. Uzyskaj dostęp do okna dialogowego Właściwości witryny sieci Web, w której jest instalowany certyfikat.
  4. Wybierz kartę Zabezpieczenia katalogu , a następnie wybierz pozycję Certyfikat serwera. Spowoduje to uruchomienie Kreatora certyfikatów serwera sieci Web. Wybierz pozycję Dalej.
  5. Wybierz pozycję Przetwórz oczekujące żądanie i zainstaluj certyfikat, a następnie wybierz pozycję Dalej.
  6. Przejdź do lokalizacji certyfikatu zapisanego w kroku 1. Wybierz pozycję Dalej dwa razy, a następnie wybierz pozycję Zakończ.

Wymuszanie połączeń SSL

Po zainstalowaniu certyfikatu serwera można wymusić komunikację bezpiecznego kanału SSL z klientami serwera sieci Web. Najpierw należy włączyć port 443 na potrzeby bezpiecznej komunikacji z witryną sieci Web. Aby to zrobić, wykonaj następujące kroki.

  1. W konsoli Zarządzanie komputerem kliknij prawym przyciskiem myszy witrynę sieci Web, w której chcesz wymusić protokół SSL, i wybierz pozycję Właściwości.
  2. Wybierz kartę Witryna sieci Web . W sekcji Identyfikacja witryny sieci Web sprawdź, czy pole Port SSL jest wypełnione wartością liczbową 443.
  3. Wybierz pozycję Zaawansowane. Powinny zostać wyświetlone dwa pola. Adres IP i port witryny sieci Web powinny być już wymienione w polu Wiele tożsamości dla tej witryny sieci Web. W polu Wiele tożsamości SSL dla tej witryny sieci Web wybierz pozycję Dodaj , jeśli port 443 nie jest jeszcze wymieniony. Wybierz adres IP serwera i wpisz wartość liczbową 443 w polu Port SSL. Wybierz przycisk OK.

Po włączeniu portu 443 można wymusić połączenia SSL. Aby to zrobić, wykonaj następujące kroki.

  1. Wybierz kartę Zabezpieczenia katalogu . W sekcji Bezpieczna komunikacjaedycja jest teraz dostępna. Wybierz pozycję Edytuj.

  2. Wybierz pozycję Wymagaj bezpiecznego kanału (SSL).

    Uwaga

    Jeśli określisz szyfrowanie 128-bitowe, klienci korzystający z przeglądarki o mocy 40-bitowej lub 56-bitowej nie będą mogli komunikować się z witryną, chyba że podwyższą swoją siłę szyfrowania.

  3. Otwórz przeglądarkę i spróbuj nawiązać połączenie z serwerem sieci Web przy użyciu standardowego protokołu http:// . Jeśli protokół SSL jest wymuszany, zostanie wyświetlony następujący komunikat o błędzie:

    Strona musi być wyświetlana za pośrednictwem bezpiecznego kanału
    Strona, którą próbujesz wyświetlić, wymaga użycia "https" w adresie.
    Spróbuj wykonać następujące czynności: Spróbuj ponownie, wpisując https:// na początku adresu, z którym próbujesz się skontaktować. HTTP 403.4 — zabronione: wymagane internetowe usługi informacyjne SSL
    Informacje techniczne (dla personelu pomocy technicznej) Tło: ten błąd wskazuje, że strona, do którą próbujesz uzyskać dostęp, jest zabezpieczona za pomocą protokołu Secure Sockets Layer (SSL).

Teraz możesz nawiązać połączenie z witryną sieci Web tylko przy użyciu protokołu https:// .